La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: yateri le 24 septembre 2019 à 16:06:25
-
Bonjour,
J'ai très probablement été victime d'un piratage par RDP hier soir, pour l'instant j'ai deux pré-occupations : savoir comment le bot/l'humain a trouvé mon mdp admin aussi rapidement et estimer l'ampleur des dégâts notamment en connaissant le volume de données downloadé et uploadé depuis mon PC (=depuis mon accès) pendant ces 60 minutes.
J'ai appelé mon fournisseur (K-Net) et suis tombé sur quelqu'un de sympa mais qui n'avait visiblement pas beaucoup d'outils en sa possession. Il m'a plutôt renvoyé vers l'opérateur (ROSACE). Je doute que celui-ci non seulement réponde à la demande d'un particulier, mais aussi qu'il détienne ces logs, dans la mesure où ça passe par des équipements appartenant à K-Net me concernant.
Quelqu'un aurait-il un avis sur ce que je pourrais faire et tout simplement si de tels logs existent ?
Merci
-
Quelqu'un aurait-il un avis sur ce que je pourrais faire et tout simplement si de tels logs existent ?
C'est selon ce que tu as paramétré sur ta machine.
-
Désolé, je ne répond pas à ta question, mais ta machine était à jour ?
Il y en a un paquet des failles RDP...
Mon conseil serait d'observer ce qu'il s'est passé sur ton PC sans utilisé sur le système exploitation qui peut être compromis : met ton disque dans une autre machine ou boot sur un LiveUSB Linux.
-
L'erreur vient de moi, un port exotique ouvert et redirigé vers le 3389, le temps de mon déménagement avant de remonter mon infra avec un "vrai routeur firewall", VPN SSL etc.
Hier soir je me suis retrouvé avec la session admin ouverte et le clavier paramétré en russe :-[
En fouillant dans l'observateur d'évènements j'ai pu constater la première ouverture de session, donc la durée de prise de contrôle, le nom du PC attaquant, et à priori l'IP source, située en Finlande, certainement la sortie du VPN utilisé.
La machine est depuis débranchée du réseau, je souhaite pousser les investigations pour essayer de dessiner les motivation du pirate puis je la formaterai.
Autant que je sache un PC n'enregistre pas le volume de données qui passent par son réseau. C'est pour cela que je me demandais si le fournisseur le faisait lui ?
Concernant le reste des investigations, pour l'instant j'en suis à ces conclusions :
- pas de fichier crypté, à priori c'est pas un ransomware (et le mode opératoire est trop avancé pour ça).
- possible prise de contrôle pour scanner le réseau et rebondir sur un serveur plus intéressant (il a être déçu de pas être tombé sur un poste d'une entreprise du CAC40),
- vol de données pour chantage, usurpation et autres (boites mail, mots de passe enregistrés / Firefox, documents bancaires, photos) : impossible à dire, c'est pour ça que je souhaite estimer le volume de données éventuellement uploadé.
- attaque purement automatique par un bot pour y installer un autre botnet : le clavier en russe me fait malheureusement penser à un intervenant "humain", mais je ne suis pas spécialiste.
Si par hasard il y a un spécialiste dans la salle qui est prêt à m'accorder 5 ou 10 min en privé...
-
Autant que je sache un PC n'enregistre pas le volume de données qui passent par son réseau. C'est pour cela que je me demandais si le fournisseur le faisait lui ?
A l'échelle d'un client unitaire sur un arbre PON, j'en doute.
-
C'est un windows 10 ?
Si oui, il y a une section consommation des données dans les paramètres internet qui affiche la consommation sur les 30 derniers jours en global et par application.
https://www.pcastuces.com/pratique/astuces/5362.htm
Chez moi bizarrement dès que je vais dans la section en question ça plante... et la fenêtre se ferme. Peut-être des services désactivés qu'il ne fallait pas.
-
L'erreur vient de moi, un port exotique ouvert et redirigé vers le 3389, le temps de mon déménagement avant de remonter mon infra avec un "vrai routeur firewall", VPN SSL etc.
Hier soir je me suis retrouvé avec la session admin ouverte et le clavier paramétré en russe :-[
En fouillant dans l'observateur d'évènements j'ai pu constater la première ouverture de session, donc la durée de prise de contrôle, le nom du PC attaquant, et à priori l'IP source, située en Finlande, certainement la sortie du VPN utilisé.
La machine est depuis débranchée du réseau, je souhaite pousser les investigations pour essayer de dessiner les motivation du pirate puis je la formaterai.
Autant que je sache un PC n'enregistre pas le volume de données qui passent par son réseau. C'est pour cela que je me demandais si le fournisseur le faisait lui ?
Concernant le reste des investigations, pour l'instant j'en suis à ces conclusions :
- pas de fichier crypté, à priori c'est pas un ransomware (et le mode opératoire est trop avancé pour ça).
- possible prise de contrôle pour scanner le réseau et rebondir sur un serveur plus intéressant (il a être déçu de pas être tombé sur un poste d'une entreprise du CAC40),
- vol de données pour chantage, usurpation et autres (boites mail, mots de passe enregistrés / Firefox, documents bancaires, photos) : impossible à dire, c'est pour ça que je souhaite estimer le volume de données éventuellement uploadé.
- attaque purement automatique par un bot pour y installer un autre botnet : le clavier en russe me fait malheureusement penser à un intervenant "humain", mais je ne suis pas spécialiste.
Si par hasard il y a un spécialiste dans la salle qui est prêt à m'accorder 5 ou 10 min en privé...
Tu as aussi des pirates qui ne touchent absolument pas à tes données, mais pénètrent les serveurs pour y retrouver de l'espace disque et de la bande passante pour y placer des démons FTP qui servent à la diffusion d'oeuvres protégés pour la "scène" warez. J'ai bien connu :)
Surveiller que l'espace disque n'a pas drastiquement chuté ^^
-
Je peux te dire que k-net n'enregistre pas la volumétrie par client individuel. Sur la box t'aurais ptet moyen d'avoir les valeurs instantanée des octets transmis & recu depuis le dernier reboot , mais c'est tout (et il aurait fallu le monitorer avant). Dès que ça remonte dans la collecte, c'est foutu.
Laisser un RDP "ouvert", avec ce qu'on entends actuellement sur les failles .... ouahou , c'était couillu. Ya même des failles exploitable sans mot de passe, donc si ca se trouve il a même pas eu à le deviner.
Limite, perso j'aurais utilisé teamviewer.... c'est proprio mais à ce que j'en sait c'est pas encore poutré.
D'ailleurs , si vous connaissez une alternative à teamviewer libre installable sur mac/windows/linux *qui passe le NAT sans config explicite* (donc, pas VNX, pas NX) , je prends !! (Si il faut un serveur STUN, ok, ca je peux faire).
-
Je peux te dire que k-net n'enregistre pas la volumétrie par client individuel. Sur la box t'aurais ptet moyen d'avoir les valeurs instantanée des octets transmis & recu depuis le dernier reboot , mais c'est tout (et il aurait fallu le monitorer avant). Dès que ça remonte dans la collecte, c'est foutu.
Je confirme cette information, aucune information sur le panel.
La seul solution d'avoir des stats.
C'est d'avoir LibreNMS(Ou autre logiciel) et utiliser le protocole SNMP
Exemple : https://pix.milkywan.fr/DqUK9z79.png
-
D'ailleurs , si vous connaissez une alternative à teamviewer libre installable sur mac/windows/linux *qui passe le NAT sans config explicite* (donc, pas VNX, pas NX) , je prends !! (Si il faut un serveur STUN, ok, ca je peux faire).
DWService ?
-
DWService ?
Merci !
C'est effectivement extrêmement intéressant , je vais tester.
Il faut que je regarde le code dans github mais il me *semble* que le seul l'agent est opensource, pas le code de la partie "serveur" ("noeud")
Point positif, c'est du python.
Point négatif, c'est pas porté sous python 3 :-)
-
Il y a aussi Apache Guacamole.
-
Un outil qui peut être utile pour collecter les données de l'attaque :
https://dfir-orc.github.io/ (https://dfir-orc.github.io/)
Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.
-
Bonjour et merci pour vos nombreux messages.
Dans l'ordre :
- C'est W7 Pro donc pas de section consommation de données (et puis si on ne peut pas borner les dates c'est malheureusement gadget),
- Bien pensé pour le Daemon FTP mais je n'ai noté aucun nouveau gros fichier (scan avec WinDirStat)
- Bien noté pour le fait que le fournisseur n'enregistre pas la volumétrie, j'imagine la quantité de données à stocker sinon...
- Pour l'alternative à Teamviewer, j'utilise AnyDesk.
- Je suis allé sur la page de DFIR ORC mais mes souvenirs de compilation sont trop loin maintenant... je suis plutôt web/sql...
En tout état de cause j'ai fait un tas d'analyses anti malwares, antivirus, anti-keylogger et je ne trouve rien.
Les hypothèses les plus probables restent pour moi un botnet qui s'est retrouvé là et a essayé de voir où il pouvait aller d'autre, ou quelqu'un qui a eu le temps de récupérer des trucs pour des activités pas trop licites (justificatifs de domicile pour faire des faux papiers ou je ne sais trop quoi).
Je me demande d'ailleurs s'il serait utile de porter plainte, en préventif.
-
En tout état de cause j'ai fait un tas d'analyses anti malwares, antivirus, anti-keylogger et je ne trouve rien.
Tu sais il y a une une grosse faille récemment pour se connecter à n'importe quel serveur rdp publiquement accessible sans mot de passe:
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
Dès l'annonce de la faille, ya eu des bots qui ont scannés , logé leur "implant" et .... attendu de nouveaux ordre.
Si ça se trouve t'a juste fait partie du lot.
Et le russe est arrivé sur ta machine plus tard, quand il a eu le temps.
Les hypothèses les plus probables restent pour moi un botnet qui s'est retrouvé là et a essayé de voir où il pouvait aller d'autre, ou quelqu'un qui a eu le temps de récupérer des trucs pour des activités pas trop licites (justificatifs de domicile pour faire des faux papiers ou je ne sais trop quoi).
Je me demande d'ailleurs s'il serait utile de porter plainte, en préventif.
Sans aller jusqu'à la plainte, tu peux poser une main courante ou un truc du genre.
En cas de problème dans le futur , tu pourras prouver ainsi que tu n'est pas resté les la tête dans le sable.
Si le russe a pris un truc c'est sans doute pour le revendre direct. Je sais pas si t'avais des gestionnaires de mot de passe, des trucs bancaires, .... mais pour ça ce serait utile de verrouiller (changer de mdp, activer un second facteurs d'auth, ....)
-
bluekeep a ete trouvé et patché dans la foulée
et il n'y a pas d'usage connu, juste un poc
Pour moi quelqu'un a touvé ton login/pass
-
bluekeep a ete trouvé et patché dans la foulée
et il n'y a pas d'usage connu, juste un poc
C'est pas trop ce que j'ai entendu. Ca fait très longtemps qu'il y a des scan avec du brute-force distribué sur les login/password en rdp. Et dès que bluekeep a été publié les scan ont incorporés l'exploit, pour profiter de l'intervalle entre la publication de la mise à jour & l'application par les systèmes. (Ca a été relevé par les honeypot des différentes boites de sécu)
Pour moi quelqu'un a trouvé ton login/pass
C'est pas exclu non plus bien sur. Mais la coïncidence de timing reste troublante.
-
troublante en quoi ?
j'ai une 20aine de serveurs ouvert sur le net en 3389 et j'en ai jamais eu un qui s'est fait ouvrir.
firewall de base, conf de base, antivirus de base
rien de rien
mais oui, mot de passe compliqué
-
j'ai une 20aine de serveurs ouvert sur le net en 3389
Tu peux pas généraliser ton cas !
Je sais que moi je ferais jamais un truc pareil, au pire avec du port-knocking, faut avoir quand même une confiance inébranlable dans l'implèmentation RDP de microsoft, qui... disons, a démontré sa robustesse. Mais chacun prends ses risques :-)
firewall de base, conf de base, antivirus de base
mais oui, mot de passe compliqué
Et mises à jour régulières aussi, non? Et ptet aussi filtre sur les pays ?
-
Et mises à jour régulières aussi, non? Et ptet aussi filtre sur les pays ?
windows 10 + 2 ou 3 softs et rien d'autre
donc oui ils font leur vie et ils rebootent quand ils veulent
-
Rolala cette faille de l'écran de connexion avec les droits admin !
Je l'avais moi-même utilisée (en local, pas RDP) pour activer la session admin (désactivée par défaut à l'install) d'un poste bloqué par l'espèce de virus "Gendarmerie" y'a pas loin de 10 ans...
Je serai bien tenté d'essayer de la reproduire pour voir s'il était vulnérable, mais bon normalement mon W7 était à jour,
Trouver mon login/pass ? Peu probable, en tout cas après coup j'ai testé mon mot de passe admin dans les dico trouvables sur le net et il n'y est pas.
Le seul truc "de valeur" facilement et rapidement dérobable je pense que c'était le fichier de gestionnaire de mot de passe du navigateur, s'il a fait l'effort d'aller le chercher sur la session utilisateur sur laquelle il n'était pas connecté, dans tous les cas mes mots de passe importants (mails, banques, impôts etc.) ont été changés dans l'heure et, même si j'en utilisais des déjà bien forts (genre "Idjn95dq") je suis enfin passé aux passphrases d'une 20aine de caractères.
Après je ne sais pas ce que peuvent valoir sur le darkweb des RIB, attestations d'assurances, factures d'électricité, copies de cartes grises etc...
-
Je peux te dire que k-net n'enregistre pas la volumétrie par client individuel.
Si, mais gardé seulement 48h
-
Je peux te dire que k-net n'enregistre pas la volumétrie par client individuel.
Juste pour information, AltitudeInfra (qui opere ROSACE) envoie des messages "RADIUS accounting" aux FAIs qui connectent des clients en collecte active. Par contre:
- c'est aux FAI de decider ce qu'ils font avec ces informations (la poubelle etant en haut de la liste, le stockage ayant une tendance de descendre dans la liste plus la duree est longue).
- de memoire ca se fait a des intervalles de plusieurs heures (entre 4 et 24). La precision est donc TRES relative.